JARIRIYAWAT / Shutterstock.com
Apesar das inúmeras tentativas da Microsoft de corrigir com sucesso o PrintNightmare, ainda não acabou. Agora, outra vulnerabilidade do Windows 10 PrintNightmare Print Spooler foi descoberta e está atraindo invasores de ransomware que buscam acesso fácil aos privilégios do sistema.
A Microsoft lançou vários patches ao longo de julho e agosto abordando a vulnerabilidade e ajustou o processo pelo qual os usuários podem instalar novos drivers de impressora. No entanto, os pesquisadores ainda encontraram uma solução alternativa para lançar um ataque por meio de uma vulnerabilidade de spooler de impressão mais recente, apelidada de CVE-2021-36958.
De uma postagem no Microsoft Security Response Center, a Microsoft descreve a vulnerabilidade: “Existe uma vulnerabilidade de execução remota de código quando o serviço Windows Print Spooler executa incorretamente operações de arquivo com privilégios. Um invasor que explorar com êxito essa vulnerabilidade poderá executar código arbitrário com privilégios de SISTEMA. Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou crie novas contas com direitos totais de usuário."
A Microsoft também lista a solução alternativa para a vulnerabilidade como “interromper e desabilitar o serviço Print Spooler". O invasor precisará de privilégios de administrador para instalar os drivers de impressora necessários; se um driver já estiver instalado, no entanto, esses privilégios não são necessários para conectar uma impressora. Além disso, os drivers nos clientes não precisam ser instalados, portanto, a vulnerabilidade permanece vulnerável em qualquer instância em que um usuário se conecte a uma impressora remota.
Os invasores de ransomware, naturalmente, estão aproveitando ao máximo as explorações, de acordo com a Bleeping Computer. Magniber, um grupo de ransomware, foi recentemente relatado pela CrowdStrike como tendo sido descoberto em uma tentativa de explorar as vulnerabilidades não corrigidas contra vítimas sul-coreanas.
Ainda não há nenhuma palavra – da Microsoft ou de outro lugar – sobre se a vulnerabilidade do PrintNightmare está em mãos. De fato, a CrowdStrike estima “que a vulnerabilidade PrintNightmare, juntamente com a implantação de ransomware, provavelmente continuará a ser explorada por outros agentes de ameaças”.
através do Windows Central